Linus y las sospechas de la puerta trasera de la NSA

Hace tiempo que se viene hablando del escándalo de la NSA con sus distintos programas de monitorización y espionaje de comunicaciones móviles y de Internet. Entre los mecanismos que parece que han usado están las puertas traseras en distintas plataformas, y algunos creen que Linux podría también tenerlas.

Una de esas puertras traseras sería el código del kernel que genera números aleatorios, en concreto la función RdRand, que algunos pedían recientemente que fuera eliminada de /dev/random porque se sospechaba que la NSA habría podido meter mano.

Pero claro, nadie –o casi nadie– tiene más claros esos temas que Linus Torvalds, que respondió a la petición con una contestación muy suya:

¿Dónde puedo iniciar una petición para aumentar el coeficiente intelectual y el conocimiento del kernel por parte de la gente? Chicos, id a echarle un vistazo a drivers/char/random.c. Después, aprended algo sobre criptografía. Finalmente, volved aquí y admitid que estábais equivocados. Respuesta corta: sabemos lo que estamos haciendo. Vosotros no. Respuesta larga: usamos rdrand como una de las muchas entradas de la piscina de entropía, y la usamos como forma para mejorar esa piscina de entropía. Así que incluso si rdrand tuviese una puerta trasera de la NSA, nuestro uso de rdrand mejora de hecho la calidad de los números aleatorios que obtendríais de /dev/random.

Respuesta realmente corta: sois unos ignorantes.

El tema está explicado con mucho detalle en Genbeta, y parece quedar claro que la posibilidad de que haya algún compromiso en la seguridad y privacidad de Linux –y en la calidad de su generador de aleatoriedad– es ínfima.

Tox, la alternativa Open Source a Skype que destaca por su sencillez

Un grupo de desarrolladores de software libre llevan tiempo trabajando en Tox, un servicio de “mensajería segura para todos” que ha aprovechado las muchas suspicacias generadas por el descubrimiento del programa PRISM y de otros proyectos de vigilancia gubernamentales.

Entre las opciones de Tox están la de poder enviar mensajes –que se cifran de forma instantánea–, hacer llamadas –también seguras y gratuitas de Tox a Tox– o hacer videollamadas, también de forma segura y que de nuevo imita en cierta medida a las prestaciones de Skype y otros servicios VoIP.

El código fuente de la aplicación está disponible en GitHub, y tal y como explican allí:

El objetivo de este proyecto es crear un sustituto libre de configuración P2P para Skype. Libre de configuración significa que el usuario simplemente tendrá que abrir el programa y sin ninguna configuración de cuenta será capaz de añadir gente a su lista de amigos y comenzar a conversar con ellos. 

La idea es la de facilitar el acceso a este tipo de posibilidad de una forma mucho más sencilla, algo que por ahora los clientes que compiten con Skype no han logrado. Los desarrolladores de Tox indican que esta aplicación estará disponible muy pronto, pero los más impacientes pueden hacer uso del mencionado código fuente para comenzar a hacer pruebas.

SELinux no tiene código “malvado” de la NSA según los expertos

El descubrimiento de PRISM y de otros programas que la NSA y el gobierno de los Estados Unidos utiliza para monitorizar y espiar las comunicaciones digitales de sus ciudadanos y de los ciudadanos de otros países ha tenido muchas consecuencias. Entre ellas, las sospechas sobre si SELinux –inicialmente desarrollado por la NSA– tendría código que ayudase en esa tarea.

Lo cierto es que SELinux es un proyecto Open Source con licencia GPLv2, y desde su creación ha habido numerosas contribuciones a este proyecto. Los creadores de CyanogenMod, una de las ROMs personalizadas de Android más relevantes de los últimos tiempos, han anunciado que incluirían SELinux como parte de sus características de seguridad, así que la confianza en esta suite parece completa.

Para aclarar el tema aún más, varios desarrolladores han indicado que es casi imposible que haya código con fines orientados al espionaje o monitorización en SELinux. Russell Coker, un desarrollador que trabaja en Debian, indicó que “no veo posible que haya algo inapropiado en los parches enviados públicamente por la NSA“. Coker fue el encargado de llevar SELinux a Debian.

Otro desarrollador llamado Brian May, también de Debian, se encargó de ofrecer SELinux en un backport para Woody, la edición que se lanzó en julio de 2002. Ya no se encarga de mantener ese paquete, pero coincidía con Coker: “SELinux es un software completamente Open Source, que ha sido revisado por mucha gente. Estoy seguro de que habría mucha gente interesada en encontrar puertas traseras en SELinux con el único propósito de desacreditar a la NSA. Pero hasta el momento no he visto noticias al respecto. Solo puedo concluir que esto es así porque no hay puertas traseras ocultas“.

Parece, por lo tanto, que podemos estar tranquilos al menos en ese apartado. ¿Fiu?